ПАО «Московская Городская Телефонная Сеть»
«УТВЕРЖДАЮ»
Директор
Департамента технического развития
ПАО МГТС
_________________
«_____»________________2017 г.
|
Система защиты сети ПАО «МГТС» от действий ботнетов.
Требования технические
Версия 1.0
Москва
2017
Лист согласований
Содержание
1. Общие сведения 4
2. Назначение Системы 4
3. Цели создания Системы 4
4. Требования к Участнику 4
5. Обязательства Участника 5
5.1. Требования по составу рабочей группы 5
5.2. Требования к взаимодействию 5
5.3. Требования к работам 5
6. Технические требования к Системе защиты сети ПАО «МГТС» от действий ботнетов 6
6.1. Общие требования к Системе 6
6.2. Требования к надежности, производительности и масштабированию Системы 6
6.3. Требования к интерфейсам управления и внешним программным интерфейсам 7
6.4. Требования к журналированию и отчетности 8
6.5. Требования к электропитанию 8
6.6. Требования к проектированию 8
6.7. Требования к патентной чистоте 9
6.8. Требования к гарантийной и послегарантийной поддержке 9
6.9. Требования к документированию 9
6.10. Требования к форме предоставления документов 11
7. Порядок контроля и приемки системы 11
7.1. Виды, состав, объем и методы испытаний системы 11
8. Приложение 1 – Проект соглашения об уровне услуг технической поддержки 13
Общие сведения Предметом запроса предложений является выбор организации на выполнение работ по внедрению и поддержке аппаратно-программного комплекса (АПК) анализа IP-трафика сети связи ПАО «МГТС» с целью выявления действий ботнетов и изоляции его трафика (далее – Система защиты сети ПАО «МГТС» от действий ботнетов, Система). Проект – Защита сети ПАО «МГТС» от действий ботнетов. Заказчик – Публичное акционерное общество МГТС (119991, Россия, , стр.1), далее по тексту – Заказчик, ПАО «МГТС». Назначение Системы Система защиты сети связи ПАО «МГТС» от действий ботнетов предназначена для защиты оборудования, ресурсов сети и объектов защиты ПАО «МГТС» от действий ботнетов, в т. ч. от сегментов ботнетов, локализованных внутри сети ПАО «МГТС». Уменьшение вероятности заражения оборудования ПАО «МГТС». Снижение активности ботнетов внутри сети связи ПАО «МГТС» (в т. ч. на оборудовании, принадлежащем абонентам). Предоставление актуальной информации о действиях ботнетов на сети связи ПАО «МГТС». Предоставление информации об источнике и причине атаки, ее цели. Предоставление возможности изоляции зараженного объекта для дальнейшего анализа. Предоставление сервиса Абонентам: - предотвращение заражения;
- выявление активности после заражения, изоляция и блокировка трафика;
- информирование абонента.
Цели создания Системы Целью внедрения Системы является уменьшение рисков, связанных с действиями ботнетов на сети ПАО «МГТС», обеспечение эффективного разрешения инцидентов информационной безопасности (ИБ) связанных с действиями ботнетов, минимизация потерь, предотвращение возникновения повторных инцидентов. Требования к Участнику Участник должен предоставить следующую информацию: Дату организации юридического лица с учетом возможных реструктуризации, изменения наименования. Опыт реализации проектов по защите сетей операторского уровня от действий ботнетов, либо аналогичных по сложности проектов в сфере обеспечения информационной безопасности с подтверждением внедрения и успешной эксплуатации хотя бы у одного российского или зарубежного оператора связи в течение более 1 года. Наличие партнерского статуса от производителя предлагаемого решения и авторизационного письма для участия в тендере, опыта технического сопровождения оборудования операторского уровня этого производителя. Наличие в штате квалифицированных специалистов, способных участвовать в выполнении условий Договора. Наличие лаборатории для возможности эмулирования участка сети, а также наличие в лаборатории оборудования анализа и мониторинга сетевого трафика, выявления ботнетов и защиты от них, аналогичного предлагаемому к поставке в рамках предложения Участника, наличие в лаборатории генератора трафика для эмуляции легитимного и вредоносного трафика. Наличие распределенной в мировом масштабе сети серверов анализа сетевого трафика по выявлению бот-сетей, в целях формирования актуальной базы паттернов обнаружения и индикаторов компрометации ботнетов. Детальное описание аппаратно-программного комплекса. Метод расчета и контроля выполнения ключевого показателя эффективности защиты и противодействия бот-сетям, KPI. Методологию разработки и способы контроля KPI/SLA-показателей для операционных и бизнес задач Заказчика. Информацию о требованиях к электропитанию, площади размещения и системе кондиционирования. Стоимость Системы и механизм ценообразования в зависимости от производительности. Планы по развитию (roadmap) всего оборудования и программного обеспечения на 5 лет. Стоимость продления технической поддержки в течение последующих 3-х лет после окончания периода действующей технической поддержки. Гарантии по сопровождению и поддержке Системы, обеспечивая поставку оборудования для расширения, замены вышедшего из строя оборудования, версий программного обеспечения, расширения функциональности и технического сопровождения во время всего периода действующей технической поддержки. Обязательства Участника Требования по составу рабочей группы В составе Рабочей группы Участника должны быть предусмотрены исполнители ролевых функций (должность, ФИО, контактная информация) согласно требованиям Проекта, коммерческое предложение должно содержать описание ролевых функций и трудозатраты по каждой роли. Участник должен предоставить детализированный План-график реализации Проекта. Требования к взаимодействию Взаимодействие между специалистами ПАО «МГТС» и компании Участника должно документироваться Участником и должно организовываться: по телефону; по электронной почте; в рамках рабочих встреч.
Взаимодействие между специалистами ПАО «МГТС» и компании Участника должно быть организовано на русском языке. Требования к работам Работы в рамках Проекта должны содержать следующие этапы: Заключение Договора поставки оборудования АПК между ПАО «МГТС» и Участником конкурсной процедуры. Разработка и утверждение Технического проекта по внедрению АПК на сети ПАО «МГТС». Поставка оборудования АПК на склад Участника в Москве, его последующая доставка и установка на сеть ПАО «МГТС», выполнение ПНР. Интеграция с системами мониторинга Заказчика в части передачи в них аварийных сообщений и журналов событий. Проведение приемо-сдаточных испытаний и тестирования на соответствие функциональным и техническим требованиям, согласно разработанной и согласованной с Заказчиком Программе и методике испытаний. Предоставление комплекса рабочей документации, позволяющей производить инсталляцию АПК, настройку и решать задачи эксплуатации и администрирования. Ввод в коммерческую эксплуатацию. Технические требования к Системе защиты сети ПАО «МГТС» от действий ботнетов Общие требования к Системе Система должна работать в режиме реального времени, обеспечивая обнаружение и локализацию устройств, зараженных ботнетами (как в части оборудования ПАО «МГТС», так и в части оборудования, принадлежащего абонентам) на сети связи ПАО «МГТС». Система должна обеспечить выявление атак и другой активности ботнетов на сети связи ПАО «МГТС». Система должна обладать гибкой системой отчетности для формирования статистики по зараженным устройствам. С целью повышения эффективности детектирования ботнетов производителем должна вестись и актуализироваться на регулярной основе база сигнатур/паттернов и индикаторов компрометации ботнетов. Система должна позволять создавать собственные правила определения вредоносной активности/объектов (включая белые и черные списки). Система должна предусматривать механизмы по снижению активности ботнетов (в том числе направленные на ограничение доступа к центрам управления бот-сетями, промежуточным контроллерам, репитерам бот-сетей). Паттерны сетевой активности ботнетов должны формироваться, как минимум на основе анализа активности вредоносного ПО, активности атакующего и не ограничиваться только этими данными. Индикаторы компрометации должны формироваться, как минимум на основе информации об IP-адресах и доменах управляющих центров, паттернах в URL, хеш-суммах файлов, e-mail адресах, значениях параметров X-Mailer, HTTPUserAgent, использовании fast flux DNS-техник и не ограничиваться только этими данными. Система должна являться законченным полнофункциональным программно-аппаратным решением по детектированию и блокированию ботнет-трафика. Система не должна приводить к снижению параметров производительности сети или отдельных узлов Заказчика и нарушению работы защищаемых ресурсов. Система должна быть реализована таким образом, чтобы не вносить дополнительную точку отказа в сеть передачи данных Заказчика и понижать ее отказоустойчивость. Решения, основанные на In-Line анализе всего трафика, исключаются. Требования к надежности, производительности и масштабированию Системы Система размещается на географически распределенных площадках. Подключение Системы к сети передачи данных Заказчика должно обеспечиваться на интерфейсах 100 GE (за исключением интерфейсов управления). Система должна обеспечивать защиту от ботнетов для всей сети с учетом прогнозов по росту трафика: объем исходящего трафика – до 200 Гбит/с, объем входящего трафика – до 900 Гбит/с, трафик может идти через любую из двух площадок, на которых осуществляется выход в интернет, либо балансироваться между этими площадками. Должна быть предусмотрена возможность увеличения производительности путем расширения аппаратной платформы. Система должна быть наращиваемой, с возможностью масштабирования для обработки больших объемов трафика от разных источников по разным алгоритмам. Наращивание мощности Системы должно производиться не посредством замены устройств, а путем масштабирования решения (компонентов Системы). Уровень доступности (работоспособности) Системы должен быть не ниже 99,95%. Участник обеспечивает наличие компонентов Системы на складе ПАО «МГТС», либо на складе Участника для восстановления работоспособности Системы в течение 1-2 рабочих дней с даты открытия карточки неисправности. Для исключения рисков при фатальном сбое в программно-аппаратном комплексе должно быть предусмотрено восстановление утраченных данных. Все важные данные (например, конфигурационные файлы Системы, персональные настройки Абонентов, база данных и т. п.) должны сохраняться на внешнем устройстве не реже одного раза в сутки. Система должна иметь возможность создания выделенных зарезервированных в режиме hot standby подсистем управления. Система должна иметь возможность одновременного доступа нескольких пользователей с различными ролями и правами доступа. Система не должна иметь единой точки отказа, приводящей к неспособности управления системой, анализа трафика или запуска задания на очистку. После принудительной/неконтролируемой перезагрузки сетевых элементов Системы восстановление полного функционирования комплекса должно происходить автоматически. Система должна поддерживать механизмы удаленного восстановления после сбоев. Требования к интерфейсам управления и внешним программным интерфейсам Система должна обеспечивать мониторинг состояния компонентов из единого интерфейса управления. Система должна иметь графический интерфейс (GUI) на базе Web, совместимого со стандартными браузерами типа Internet Explorer (не ниже 8 версии), Firefox/Mozilla, Safari, Google Chrome и т. д. (т. е. со всеми популярными браузерами, используемыми в России). Web-интерфейс должен обеспечивать работу в удаленном режиме для случаев экстренного подключения администраторов системы с мобильных устройств (iPhone/iPad/Android/Windows). Система должна иметь интерфейс командной строки с доступом на основе стандартного протокола SSH v.2 (с ключом не короче 1024 bit). Интерфейс командной строки должен поддерживать весь набор функций, который доступен через графический интерфейс. Система должна обеспечивать генерацию и отсылку по электронной почте на базе ESMTP сообщений, касающихся системных событий, возникновения инцидентов или других событий, связанных с предметной областью используемого решения. Система должна обеспечивать генерацию уведомлений SNMP trap version 3 и сообщений syslog внешней системе мониторинга, касающихся системных событий, возникновения инцидентов или других событий, связанных с предметной областью. Система должна вести аудит всех изменений в конфигурации. Система должна поддерживать стандарты IPv4 и IPv6 как минимум для следующих задач: Для управления системой; Для сбора статистки по трафику; Для обнаружения ботнетов; Syslog, snmp, aaa Для отсылки маршрутной информации BGPv4; Для формирования задач по очистке ботнет-трафика. Система должна содержать контекстную документацию на русском и/или английском языках. Система должна поддерживать API или другой тип интеграции сопряжения с комплексами безопасности для мониторинга ИБ и организации лечения зараженных объектов. Требования к журналированию и отчетности Журналирование должно включать результаты операций по импорту сигнатур/паттернов, с указанием даты, времени, числа импортированных ссылок и результата импорта, а также по всем изменениям в конфигурации. Журналирование должно включать список команд/операций по всем пользователям Системы. Система должна обеспечивать генерацию и отправку уведомлений SNMP-trap и сообщений syslog связанных с системными событиями, инцидентами или другими событиями, связанными с предметной областью, на внешний сервер. Система должна иметь возможность предоставления структурированной и законченной отчетной информации по угрозам ИБ. Система должна иметь возможность формирования агрегированного отчета по всем подсистемам Системы в целом. Должна быть реализована возможность выгрузки данных в формате CSV, Excel или PDF для дальнейшего анализа. Система должна поддерживать экспорт журналов в файл. Условия запросов могут быть установлены с помощью шаблонов. Поддерживаемые форматы: Excel, CSV, TXT. Требования к электропитанию Номинальное значение напряжения электропитания оборудования АПК должно быть 60 В постоянного тока, допустимые предельные отклонения - +/- 20%. Должно быть обеспечено одновременное подключение оборудования к двум независимым источникам электропитания. Требования к проектированию Работы по проектированию должны выполняться с учетом требований действующих государственных и международных стандартов, включая: ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем; ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания; ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы; РД 50-34.698-90. Автоматизированные системы. Требования к содержанию документов; РД 50-682-89. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения; ГОСТ 27.001-95. Надежность в технике. Основные положения; ГОСТ 27.002-89. Надежность в технике. Термины и определения; ГОСТ 27.003-90. Надежность в технике. Состав и общие правила задания требований по надежности; ГОСТ 12.1.004. Пожарная безопасность. Общие требования; ГОСТ 12.1.010. Взрывобезопасность. Общие требования; ГОСТ Р 50571.1. Электроустановки зданий. Основные положения; ГОСТ Р 50571.3. Электроустановки зданий. Часть 4. Требования по обеспечению безопасности. Защита от поражения электрическим током; ГОСТ Р 50571.10 (МЭК 364-1-72, МЭК 364-2-70). Электроустановки зданий. Заземляющие устройства и защитные проводники; ГОСТ 12.1.030. Электробезопасность. Защитное заземление, зануление.
Требования к патентной чистоте Патентная чистота Системы и ее частей должна быть обеспечена в отношении патентов, действующих на территории РФ. При использовании в Системе программ (компонентов) разработанных третьими лицами, условия на которых передается право на использование этих программ не должны накладывать ограничений, препятствующих использованию Системы по ее прямому назначению. Если в Системе будут использованы лицензионные компоненты сторонних разработчиков ПО, то все расходы на приобретение данных лицензионных компонентов должны быть включены в конечную стоимость. Все ПО поставленное по данному ТТ принадлежит Заказчику на условиях неисключительной лицензии без ограничения по месту и сроку использования. Требования к гарантийной и послегарантийной поддержке Для обеспечения необходимого уровня сервиса Система должна быть обеспечена поддержкой производителя на обновления ПО на срок не менее 7 (семи) лет. Участник должен обеспечить русскоязычную первую линию технической поддержки, оказываемую производителем, либо его авторизированным партнером на территории Российской Федерации. Стоимость гарантийной технической поддержки должна входить в стоимость оборудования. Проект соглашения об уровне услуг технической поддержки представлен в Приложении 1. На все компоненты оборудования должна быть предоставлена гарантия на срок не менее 3-х лет и обеспечена дальнейшая техническая поддержка на срок не менее 4-х лет. Участник обеспечивает за свой счет необходимый ремонт оборудования на протяжении гарантийного срока. Участник обеспечивает наличие необходимого объема ЗИП к поставленному оборудованию. Требования к документированию Документация на Систему должна содержать все необходимые и достаточные сведения для ввода ее в действие и эксплуатацию, поддержания уровня эксплуатационных характеристик в соответствии с настоящими требованиями, а также отвечать по содержанию требованиям РД 50-34.698-90. Перечень подлежащих разработке комплектов и видов документов: Технический проект, который должен включать в себя: Ведомость; Пояснительную записку; Схему функциональной структуры; Описание автоматизируемых функций; Описание информационного обеспечения системы; Логику предоставления сервисов (use-cases); Описание графического интерфейса Администратора, Пользователя; Дополнительные возможности Системы, заявленные Участником/производителем. Комплект рабочей документации, который должен включать в себя: Ведомость; Перечень оборудования и его производительность (спецификация Системы); Общее описание Системы; Техническая документация по эксплуатации платформы; Описание продукта с детальной документацией по устройству системы, её логическим модулям, подробное описание внутренних и внешних интерфейсов взаимодействия, правил настройки и администрирования модулей и интерфейсов; Документация по формированию и мониторингу аварийных/информационных сообщений; Описание методов сбора и анализа статистической информации; Схему интеграции оборудования в локальную/коммутационную сеть, Схему комплекса технических средств (схема размещения оборудования); Схему взаимодействия внутренних компонентов системы (структурная, сетевая, электрическая, коммутационная и др.) Руководство по эксплуатации Системы, с подробным описанием функционала всех подсистем и его применения; Руководство по инсталляции и развертыванию системы; Методику поиска неисправностей и их устранения; Руководство Администратора; Руководство Пользователя. Программа и методики функционального и технического тестирования. Согласованная с Заказчиком ПМИ должна содержать описание перечня процедур для тестирования Системы на соответствие техническим требованиям и готовности ее ввода в эксплуатацию. Дополнительно Участник должен предоставить Методику расчета расширения Системы, включая: Описание принципов расширения и резервирования; Описание максимально возможной конфигурации Системы; Описание принципов увеличения производительности системы (программно и аппаратно); Описание максимально возможной аппаратной конфигурации предлагаемого оборудования с указанием производительности каждого модуля.
Гарантию наличия необходимого ЗИП на локальном складе для выполнения техподдержки по уровню «Критичный». Подтверждение опыта проведения сертификации оборудования по требованиям ФСТЭК и готовность в случае появления требований со стороны регулирующих органов организовать необходимую сертификацию. Наличие программы и курсов для обучения и сертификации инженеров. Документы, подтверждающие права Участника на поставляемое ПО. Описание процесса оформление прав ПАО «МГТС» на передаваемое ПО. Документы подтверждающие совместимость Системы с EMC Smarts. Требования к форме предоставления документов Система должна быть задокументирована в соответствии с требованиями ГОСТ серии 34. Документация должна быть представлена на русском языке. Текстовые документы предоставляются в формате текстового редактора Microsoft Word, структурные схемы и рисунки − в формате редактора Microsoft Visio. На титульном листе должно быть помещено наименование отчетного материала, учетные реквизиты, подписи Участника, скрепленные печатями. Комплект документации должен быть предоставлен в печатном экземпляре и на электронном носителе. При наличии замечаний к документации у Заказчика, Участник должен предоставить исправленный экземпляр в течение 5-ти рабочих дней. Порядок контроля и приемки системы Виды, состав, объем и методы испытаний системы Приёмо-сдаточные испытания проводятся по этапам: Опытная эксплуатация. Система разворачивается на объекте Заказчика в составе всех подсистем и функциональных возможностей. В соответствии с ПМИ в ходе испытаний оценивается: Выполнение Системой требуемых функций; Эффективность выполнения функций Системы и каждой её составляющей; Отсутствие оказания негативных воздействий подсистем Системы на сеть передачи данных и сервисы Заказчика; Соответствие интерфейса управления и удобство работы Администратора и Пользователей с ним; Вид, состав и достаточность генерируемых аналитических отчётов и собираемой статистики; Качество и содержание полного комплекта эксплуатационной документации.
Результат проведения испытаний фиксируется в соответствующем Протоколе эксплуатационных испытаний, где указываются выявленные недостатки. По завершении испытаний оформляется Акт, содержащий вывод о соответствии Системы предъявляемым требованиям, согласовываются необходимые изменения и доработки, а также сроки устранения замечаний. В случаи значительного отклонения Системы от требований предъявляемых на испытании, составляется отрицательный Протокол испытаний и Акт о невозможности применения данного технического решения на сети Заказчика. Ввод Системы в промышленную эксплуатацию. Система разворачивается на объекте Заказчика в составе всех подсистем, функциональных возможностей и требуемой производительности. В соответствии с ПМИ в ходе испытаний оценивается: Качество устранения найденных недостатков и проверяются осуществлённые по результатам опытной эксплуатации доработки и готовность Системы к промышленной эксплуатации; В соответствии с ПМИ проверяется требуемый уровень производительности и эффективность выполнения функций Системы.
По результатам испытаний составляется Протокол испытаний и подписывается Акт о завершении испытаний и передачи Системы в промышленную эксплуатацию. Приёмо-сдаточные испытания проводятся по адресу: г. Москва, ул. Хачатуряна. В приемочной комиссии участвуют представители организаций Заказчика и Участника, Разработчика. Во время приемки представители комиссии со стороны организации Заказчика оставляют за собой право проводить любое дополнительное тестирование функциональности системы.
Приложение 1 – Проект соглашения об уровне услуг технической поддержки Таблица 1
Вид услуг
| Соглашение об уровне услуг
|
Режим работы
| Время реакции
| Время восстановления/ Время промежуточного решения
| Время окончательного решения
(без коррекции ПО)
| Время окончательно решения
(c коррекцией ПО)
|
Горячая линия
| 7x24
| NA
|
Экстренное восстановление (Уровень 1, Критический)
| 7x24
| 15 мин
| Если МГТС предоставил Партнеру согласованный удаленный доступ:
≤4 часа.
В остальных случаях: ≤8 часов
| В случае сохранения работоспособности Системы на до аварийном уровне в течение 72 часов (период стабильности) после предоставления Временного решения данная Проблема с этого момента рассматривается как Запрос 2 или 3 уровня, в зависимости от ситуации, которая будет иметь место
|
Решение неаварийных запросов
| Срочный
(Уровень 2)
| 7x24
| 60 мин
| 4 РД
| 8 РД
| 42 РД
|
Несрочный
(Уровень 3)
| 5x8
| 1 РД
| 8 РД
| 16 РД
| 64 РД
|
Информационный запрос (Уровень 4)
| 5x8
| 1 РД
| Предоставление ответа в течение 10 рабочих дней
|
